MENU
  1. Inicio
  2. Microsoft 365
  3. Bloquear remitentes de spam en Exchange Online: guía completa para administradores

Bloquear remitentes de spam en Exchange Online: guía completa para administradores

Microsoft 365

Los atacantes se sirven cada vez más de técnicas de suplantación para inundar los buzones corporativos con correos no deseados o maliciosos. A continuación encontrarás una guía paso a paso para bloquear remitentes de spam en Exchange Online y reforzar la postura de seguridad de tu organización.

Índice

Panorama general de la protección antispam en Microsoft 365

Exchange Online Protection (EOP) incorpora múltiples capas de defensa —filtros de reputación IP, filtrado de contenido, detección de suplantación y aprendizaje automático— que actúan antes de que el mensaje llegue al buzón. Dentro de este ecosistema, las políticas antispam permiten a los administradores crear reglas personalizadas para aceptar o bloquear dominios y direcciones específicas.

Ventajas de aplicar una directiva de bloqueo dedicada

  • Detención temprana de amenazas: los mensajes se descartan en el perímetro antes de ocupar recursos internos.
  • Política centralizada: un único cambio protege a todos los usuarios sin necesidad de reglas de transporte adicionales.
  • Cumplimiento y auditoría: cada acción queda registrada, lo que facilita el análisis forense y las revisiones de cumplimiento normativo.

Creación de una directiva antispam para bloquear remitentes

La forma más rápida y visual de bloquear remitentes es mediante el Microsoft Defender portal. Sigue estos pasos:

  1. Acceder al centro de seguridad. Inicia sesión en https://security.microsoft.com con una cuenta que disponga de los roles Security Administrator o Global Administrator.
  2. Navegar a la configuración. En el menú izquierdo haz clic en Email & Collaboration ▸ Policies & Rules ▸ Threat policies ▸ Anti‑spam.
  3. Crear una nueva política. Selecciona Create ▸ Create policy ▸ Inbound. El asistente te guiará por varias fichas:
    • Name & description: asigna un nombre descriptivo, por ejemplo «Bloqueo de remitentes suplantados».
    • Users, groups, and domains: define el ámbito de aplicación (puedes proteger a todos o a una unidad organizativa concreta).
    • Create block entries for domains and email addresses: introduce los dominios o direcciones individuales que deseas bloquear. El formato puede ser malicioso.com o ataque@ejemplo.com.
  4. Revisar y guardar. Confirma el resumen y pulsa Submit. La propagación interna tarda entre uno y quince minutos.

Qué ocurre cuando un remitente está bloqueado

ComportamientoDescripción
Correo entranteEl mensaje se descarta (o se envía a cuarentena si usas acción Quarantine) antes de llegar al buzón.
Correo salienteSi el dominio/dirección también se añade a la Tenant Allow/Block List, los usuarios internos no podrán enviar mensajes a esa entidad. Esto evita el rebote de ataques de respuesta o la filtración de datos.
Alertas e informesLas entradas bloqueadas aparecen en los informes de filtro de spam y en el Explorer para facilitar la supervisión.

Refuerzo de la protección: prácticas recomendadas

Complementar con la Tenant Allow/Block List

La Tenant Allow/Block List (TABL) es un repositorio global que Microsoft 365 consulta antes que cualquier otra regla. Al crear una entrada de bloqueo en TABL:

  • Rechazo bidireccional. Ni los usuarios internos ni los externos podrán intercambiar correo con la dirección o dominio afectado.
  • Prioridad absoluta. La lista prevalece sobre reglas de transporte, conectores y políticas adicionales, reduciendo la complejidad de la configuración.
  • Compatibilidad con PowerShell. Puedes automatizar la administración con New-TenantAllowBlockListEntry y Remove-TenantAllowBlockListEntry.

Habilitar autenticación de dominio

Aunque el bloqueo manual es efectivo, la mejor defensa ante la suplantación es asegurarse de que los dominios legítimos estén correctamente autenticados:

  • SPF (Sender Policy Framework): declara qué servidores están autorizados a enviar correo en nombre de tu dominio.
  • DKIM (DomainKeys Identified Mail): firma criptográficamente cada mensaje para demostrar su integridad.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance): establece una política (p.ej. p=quarantine) y proporciona informes de retroalimentación.

Supervisión continua y respuesta

Una política de bloqueo no es estática. Revisa semanalmente los informes de amenazas para detectar picos de spam y ajusta las entradas según sea necesario. Microsoft Defender genera reportes como:

  • Threat protection status report – muestra el volumen de spam bloqueado y las detecciones de phishing.
  • Top senders and recipients report – identifica a los usuarios más atacados.
  • Malware detection details – correlaciona archivos adjuntos y URL maliciosas.

Al correlacionar estos datos con las alertas de Azure AD y de Microsoft Defender for Endpoint, es posible identificar campañas coordinadas y reaccionar proactivamente.

Automatización con PowerShell

Para organizaciones grandes o integradores MSSP, el portal gráfico puede resultar insuficiente. A continuación se muestran ejemplos con el módulo ExchangeOnlineManagement:

# Conectar a Exchange Online
Connect-ExchangeOnline -UserPrincipalName admin@contoso.com

Crear una política antispam de bloqueo rápido
$policy = New-HostedContentFilterPolicy -Name "Bloqueo_Suplantacion" -BlockedSenders "phishing@evilcorp.com","spamdomain.com"

Asignar la política a todos los usuarios
New-HostedContentFilterRule -Name "BloqueoSuplantacionAll" -HostedContentFilterPolicy $policy.Name -RecipientDomainIs "contoso.com"

Añadir entrada a la Tenant Allow/Block List
New-TenantAllowBlockListEntry -ListType Sender -Block -Entry "spamdomain.com" -Notes "Dominio suplantado detectado el 17/07/2025"

Con Get-TenantAllowBlockListEntry puedes generar informes CSV y enviarlos a un equipo de respuesta. Además, la combinación de PowerShell con Azure Functions permite despliegues «as‑code» incluidos en el pipeline de CI/CD.

Preguntas frecuentes de los administradores

¿Cuántas direcciones puedo bloquear en una sola política?

El límite es de 1 024 dominios o 10 000 direcciones de correo por política. Para volúmenes mayores es preferible dividirlas en varias políticas temáticas o usar automatización con PowerShell.

¿Qué diferencia hay entre un bloque a nivel de remitente y un bloque de IP?

Bloque de remitenteBloque de IP
Actúa sobre el campo MAIL FROM o From:.
Útil contra suplantación nominal.		Aplica a la conexión SMTP inicial.
Detiene tráfico de botnets específicas.
No requiere cambiar el DNS.Puede provocar falsos positivos si la IP se comparte (p.ej. SaaS legítimos).

¿Cómo verifico que el bloqueo funciona?

Envíate un mensaje de prueba desde la cuenta o dominio bloqueado; debería aparecer en la cuarentena o ser rechazado con código 550. También puedes usar el Message Trace y filtrar por Event ID = Expand.

Buenas prácticas complementarias

  • Zero Trust externa. No confíes en el correo interno por defecto; activa la opción «Treat brevity internal messages as spam».
  • Etiquetado de confianza. Usa cabeceras personalizadas (X-MS-Exchange-Organization-SCL) para señalar envíos externos.
  • Formación a usuarios. Promueve la reportación con Report Message y gamifica las campañas de phishing simulado.
  • Actualiza la firma de correo. Incluir advertencias visuales cuando un mensaje proviene de fuera de la organización reduce la tasa de clics en enlaces maliciosos.

Resumen ejecutivo

Bloquear remitentes de spam en Exchange Online es una tarea esencial que combina políticas antispam, la Tenant Allow/Block List, autenticación de dominio y análisis continuo. Al implementar los pasos descritos, tu organización reducirá drásticamente el volumen de correos no deseados y limitará las oportunidades de suplantación. Mantén las políticas actualizadas, automatiza donde sea posible y educa a los usuarios: la seguridad del correo es un proceso, no un evento puntual.

Microsoft 365
Microsoft 365 Exchange Online Anti‑spam
Índice